本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# CDN 集成安全最佳实践 MediaTailor
<a name="cdn-security-best-practices"></a>

本节介绍如何为 AWS Elemental MediaTailor 内容分发网络 (CDN) 集成实施安全最佳实践。适当的安全配置有助于保护您的内容和基础设施免受未经授权的访问和潜在威胁。

保护 CDN 集成对于保护您的内容、防止未经授权的访问以及确保遵守安全要求至关重要。实施这些最佳实践有助于为您的流媒体工作流程创建稳健的安全态势。

## CDN 安全配置
<a name="cdn-security-settings"></a>

在配置 CDN 路由和缓存设置之前，请实施以下安全最佳实践来保护您的内容和基础架构：

### 运输安全
<a name="transport-security"></a>

MediaTailor 仅使用 HTTPS 进行所有通信，不允许 HTTP 连接。为确保直播工作流程中所有组件之间的安全通信，请完成以下步骤：

1. 为 CDN 和 MediaTailor终端节点之间的所有通信配置 HTTPS。 MediaTailor 需要 HTTPS 并且不接受 HTTP 连接。

1. 所有 HTTPS 连接均使用 TLS 1.2 或更高版本。

1. 配置您的 CDN 以强制观看者仅通过 HTTPS 进行连接。

### 访问控制
<a name="access-control"></a>

要保护您的内容和基础设施免遭未经授权的访问，请实施以下访问控制：

1. 如果您需要将内容访问限制在特定区域，请配置地理限制设置。

1. 为需要查看者身份验证的内容实施签名 URLs 或签名 Cookie。

1. 设置基于 IP 的许可名单，以便对 CDN 配置进行管理访问。

### 安全监控
<a name="security-monitoring"></a>

要有效地检测和响应安全事件，请实施以下监控实践：

1. 为 CDN 分发启用访问日志记录。

1. 为异常流量模式或访问尝试设置警报。

1. 定期检查安全配置并根据需要进行更新。

## 高级安全特征
<a name="advanced-security-features"></a>

以下高级安全功能为您的 CDN 集成提供了增强的保护：

**Web 应用程序防火墙（WAF）**  
如果您的 CDN 支持 WAF 功能，请将其配置为防范常见的 Web 漏洞和攻击。

**DDoS 保护**  
启用 CDN 提供的 DDo S 保护功能以缓解分布式 denial-of-service攻击。

**源站访问控制**  
将您的源服务器配置为仅接受来自 CDN 的请求，以防止直接访问尝试。

**内容加密**  
对于高度敏感的内容，可以考虑在传输安全性之外实施其他加密机制。

## 后续步骤
<a name="security-best-practices-next-steps"></a>

实施安全最佳实践后，下一步是测试您的 CDN 集成并对其进行故障排除。有关全面[对 CDN 集成进行故障排除](cdn-troubleshooting.md)的测试和故障排除说明，请参阅。